VPN Tunel virtual en Endian-Firewall

(Open-VPN e IPsec)
Trabajo realizado por
Yonatan Gallego Durando
Administracin de Redes
(Sena Antioquia)
Tutor
Mauricio rtiz
!"##
$ntroduccin
A medida que e%olucionan los sistemas de red& se %e la necesidad de inno%ar '
concienciar que las (erramientas que a menudo tenemos para la con)iguracin '
administracin de redes son muc(isimas ' cada %ez crecen mas* +n este manual utilizare
algunas de ellas para con)igurar un tunel %irtual seguro o tambien llamado asi una ,-.*
De igual manera el uso de estas (erramientas es orientado solo a la con)iguracin de
dic(o manual por tanto sere objeti%o ' puntual en el tema especi)icado /,-.0*
bjeti%os
1Re)orzar un poco acerca del tema e2puesto en dic(o manual
1+2poner de )orma objeti%a el tema de ,-. (Red -ri%ada ,irtual) con la intencin de
)amiliarizar m3s el tema para todos aquellos que conocen mu' poco o no lo conocen
1Dar a conocer cada una de las (erramientas utilizadas para dic(o procedimiento
1A)ianzar mi conocimiento sobre el tema para ser recordado con posterioridad
14umplir con el curriculo ' guia academica para la institucin*
Sistemas Operativos S.O
5indo6s 7- (administra el +ndian gra)icamente ' simula la 8A.)
$- 9 #:!*#;<*#"=*#">!?
+ndian (Ser%idor de ,-.& @ire6all& -ro2' entre otros*)
$- o Gate6a' interno #:!*#;<*#"=*#>!?
$- o Gate6a' e2terno #:!*#;<*#"*A:>!?
5indo6s 7-14liente (cliente para las cone2iones pen,-. e $-S+4)
Coni!uraci"n de VPN en el servidor (Endian-irewall)
con)iguraremos el ser%idor open1,-.
lo ponemos acti%o ' damos un rango de direcciones para que sea entregada una de ellas
al cliente al conectarse con el ser%idor*
Descargamos este certi)icado de la 4A ' lo copiaremos al 5indo6s 7-1cliente
+n cuentas creamos un usuario para conectarse posteriormente desde el cliente

creamos el usuario con contraseBa
(a sido creado /jonas0

en a%anzado de)inimos pautas como el puerto por el que escuc(ara el ser%idor ' el
protocolo
la autenticacin sera (ar3 mediante usuario ' contraseBa
despuCs de (aber guardado la con)iguracin del pen1,-. %amos a sistema '
comprobamos las inter)aces ' la direccin publica o e2terna del router que sera el
gate6a' remoto en el cliente
Coni!uraci"n en el Cliente #P
descargamos el cliente pen1,-. puede ser de este linD
(ttpE>>open%pn*net>inde2*p(p>open1source>do6nloads*(tml

despues de (aber descargado e instalado pen1,-. %amos mi pc& arc(i%os de
programa& open%pn& con)ig* -ara editar un arc(i%o de registro ' alli mismo pegaremos
el certi)icado que se descargo de la 4A del ser%idor anteriormente*
Abrimos este client con un editor de te2to
cambiamos algunos parametros& otros estan por de)ecto*
+n esta linea %a el
nombre tal cual del
certi)icado que
ceramos en el ser%idor
' que sera aBadido en
la carpeta /con)ig0
aBadimos el certi)icado
al instalar el open%pn nos aprecera en la barra del escritorio el icono para abrir la
cone2in
usuario ' contraseBa creados en el ser%idor
obser%amos la noti)icacin de cone2in ' que a recibido la direccion #:!*#;<*#"=*="
osea que en otras palabras (a ec(o presencia %irtual dentro de la 8A.*
Miramos las $- por la consola ' obser%amos que tiene dos& la real publica ' la asignada
por el ser%idor
tambien obser%amos que el icono de cone2in a cambiado ' se a puesto %erde
a(ora tenemos un tunel seguro que pasa por una red insegura como lo es el internet& '
los paquetes %an ci)rados*

Coni!uraci"n del Servidor VPN mediante IPSEC

en aBadir para crear la cone2in por ipsec

sera de tipo (ost a red (road6arrior)
de)inimos un nombre& el id local ' la direccin remota osea la del cliente& que la accion
cuando se caiga el tFnel sea reiniciar la cone2in ' en la autenticacin que sea por una
lla%e o palabra m3gica*
tambiCn seleccionamos en /editar con)iguracin a%anzada0
(a sido creada la cone2in llamada ,-. pero aun se encuentra cerrada debido a que el
cliente no (a sido con)igurado ' no se (a iniciado la cone2in*
Coni!uraci"n en el cliente para IPsec
podemos descargar el cliente /t(egreenbo60 de este linD
(ttpE>>666*t(egreenbo6*com>es>%pnGdo6n*(tml
lo instalamos
seguimos los pasos (asta el )inal ' reiniciamos
al instalar el t(egreenbo6 nos aparece el icono en la barra del escritorio con opciones
para abrir el tunel& entrar a la consola ' %er los logs& el panel de cone2in ' panel de
con)iguracin*
/+ntramos al panel de con)iguracin0

la cone2in consiste de dos )ases llamadas por de)ecto )ase#1Gate6a' ' )ase!1tunel&
creamos la primera )ase

especi)icamos la inter)ace de salida& el gate6a' remoto ' en la autenticacin la palabra
m3gica escrita anteriormente en el ser%idor

en a%anzada (abilitamos el modo agresi%o ' copiamos el id local ' remoto siendo el
remoto el gate6a' e2terno del ser%idor ' el id local la direccin local*
4reamos la )ase !

las caracteristicas con las que sea con)igurado el cliente deben estar (abilitadas en el
ser%idor tales como la criptogra)ia& autenticacin& modo ' tambien el grupo*

Guardamos los cambios ' aplicamos
mediante la consola del t(egreenbo6 podemos obser%ar que todo se este ejecutando
correctamente o de lo contrario obser%ar el o los errores*
Abrimos la cone2in
si todo esta correctamente con)igurado se abrir3 el tFnel
si %amos al ser%idor obser%amos que la cone2in a(ora aparece abierta
eso es todo 'a e2iste el tunel con ipsec*